Lompat ke isi

Voice phishing: Perbedaan antara revisi

Dari Wikipedia bahasa Indonesia, ensiklopedia bebas
Konten dihapus Konten ditambahkan
k ~PL
Justmine11 (bicara | kontrib)
Fitur saranan suntingan: 3 pranala ditambahkan.
Tag: VisualEditor Suntingan perangkat seluler Suntingan peramban seluler Tugas pengguna baru Disarankan: tambahkan pranala
(7 revisi perantara oleh 7 pengguna tidak ditampilkan)
Baris 1: Baris 1:
{{Orphan|date=Januari 2023}}

{{pindah ke|Pengelabuan suara}}
{{pindah ke|Pengelabuan suara}}
'''Pengelabuan suara''', atau '''vishing''',<ref name="vishing3">{{cite journal|last1=Griffin|first1=Slade E.|last2=Rackley|first2=Casey C.|date=2008|title=Vishing|journal=Proceedings of the 5th Annual Conference on Information Security Curriculum Development - InfoSecCD '08|pages=33|doi=10.1145/1456625.1456635|isbn=9781605583334}}</ref> adalah penggunaan telepon (sering kali Voice over IP telephony) untuk melakukan serangan phishing.
'''Pengelabuan suara''', atau '''vishing''',<ref name="vishing3">{{cite journal|last1=Griffin|first1=Slade E.|last2=Rackley|first2=Casey C.|date=2008|title=Vishing|journal=Proceedings of the 5th Annual Conference on Information Security Curriculum Development - InfoSecCD '08|pages=33|doi=10.1145/1456625.1456635|isbn=9781605583334}}</ref> adalah penggunaan telepon (sering kali Voice over IP telephony) untuk melakukan serangan phishing.


Layanan telepon darat secara tradisional dapat dipercaya; diakhiri di lokasi fisik yang diketahui oleh perusahaan telepon, dan terkait dengan pembayar tagihan. Namun sekarang, penipu vishing sering menggunakan fitur Voice over IP (VoIP) modern seperti spoofing ID penelepon dan sistem otomatis ([[Interactive voice response|IVR]]) untuk menghalangi deteksi oleh lembaga penegak hukum. Phishing suara biasanya digunakan untuk mencuri nomor kartu kredit atau informasi lain yang digunakan dalam skema pencurian identitas dari individu.
Layanan telepon darat secara tradisional dapat dipercaya; diakhiri di lokasi fisik yang diketahui oleh perusahaan telepon, dan terkait dengan pembayar tagihan. Namun sekarang, penipu vishing sering menggunakan fitur Voice over IP (VoIP) modern seperti spoofing ID penelepon dan sistem otomatis ([[Interactive voice response|IVR]]) untuk menghalangi deteksi oleh lembaga penegak hukum. Phishing suara biasanya digunakan untuk mencuri nomor [[kartu kredit]] atau informasi lain yang digunakan dalam skema pencurian identitas dari individu.


Biasanya, serangan phishing suara dilakukan menggunakan sistem text-to-speech otomatis yang mengarahkan korban untuk memanggil nomor yang dikendalikan oleh penyerang, namun beberapa menggunakan penelepon langsung.<ref name="vishing3" /> Menyamar sebagai karyawan dari badan yang sah seperti bank, polisi, telepon atau penyedia internet, penipu berusaha untuk mendapatkan informasi pribadi dan informasi keuangan mengenai kartu kredit, rekening bank (misalnya PIN), serta informasi pribadi korban. Dengan informasi yang diterima, penipu mungkin dapat mengakses dan mengosongkan akun atau melakukan [[Penipuan identitas|penipuan identitas]]. Beberapa penipu mungkin juga mencoba membujuk korban untuk mentransfer uang ke rekening bank lain atau menarik uang tunai untuk diberikan kepada mereka secara langsung.<ref>{{Cite web|last=Association|first=Press|date=2013-08-28|title='Vishing' scams net fraudsters £7m in one year|url=https://www.theguardian.com/money/2013/aug/28/vishing-scams-fraudsters-seven-million-pounds|access-date=2018-09-04|website=the Guardian|language=en}}</ref> Penelepon juga sering menyamar sebagai penegak hukum atau sebagai pegawai Layanan Pendapatan Internal.<ref name=":12">{{Cite news|last=Olson|first=Elizabeth|date=2018-12-07|title=When Answering the Phone Exposes You to Fraud|language=en-US|work=The New York Times|url=https://www.nytimes.com/2018/12/07/business/fraud-robocalls-spoofing.html|access-date=2021-04-08|issn=0362-4331}}</ref><ref>{{Cite web|title=Chinese Robocalls Bombarding The U.S. Are Part Of An International Phone Scam|url=https://www.npr.org/2018/05/10/609117134/chinese-robocalls-bombarding-the-u-s-are-part-of-an-international-phone-scam|access-date=2021-04-08|website=NPR.org|language=en}}</ref> Penipu sering menargetkan imigran dan orang tua,<ref name=":22">{{Cite news|last=Hauser|first=Christine|date=2018-07-23|title=U.S. Breaks Up Vast I.R.S. Phone Scam|language=en-US|work=The New York Times|url=https://www.nytimes.com/2018/07/23/business/irs-phone-scams-jeff-sessions.html|access-date=2021-04-06|issn=0362-4331}}</ref> yang dipaksa untuk mengirim ratusan hingga ribuan dolar sebagai tanggapan atas ancaman penangkapan atau deportasi.<ref name=":12" />
Biasanya, serangan phishing suara dilakukan menggunakan sistem text-to-speech otomatis yang mengarahkan korban untuk memanggil nomor yang dikendalikan oleh penyerang, namun beberapa menggunakan penelepon langsung.<ref name="vishing3" /> Menyamar sebagai karyawan dari badan yang sah seperti bank, polisi, telepon atau penyedia internet, penipu berusaha untuk mendapatkan informasi pribadi dan informasi keuangan mengenai kartu kredit, rekening bank (misalnya PIN), serta informasi pribadi korban. Dengan informasi yang diterima, penipu mungkin dapat mengakses dan mengosongkan akun atau melakukan [[penipuan identitas]]. Beberapa penipu mungkin juga mencoba membujuk korban untuk mentransfer uang ke rekening bank lain atau menarik uang tunai untuk diberikan kepada mereka secara langsung.<ref>{{Cite web|last=Association|first=Press|date=2013-08-28|title='Vishing' scams net fraudsters £7m in one year|url=https://www.theguardian.com/money/2013/aug/28/vishing-scams-fraudsters-seven-million-pounds|access-date=2018-09-04|website=the Guardian|language=en}}</ref> Penelepon juga sering menyamar sebagai penegak hukum atau sebagai pegawai Layanan Pendapatan Internal.<ref name=":12">{{Cite news|last=Olson|first=Elizabeth|date=2018-12-07|title=When Answering the Phone Exposes You to Fraud|language=en-US|work=The New York Times|url=https://www.nytimes.com/2018/12/07/business/fraud-robocalls-spoofing.html|access-date=2021-04-08|issn=0362-4331}}</ref><ref name="npr.org">{{Cite web|title=Chinese Robocalls Bombarding The U.S. Are Part Of An International Phone Scam|url=https://www.npr.org/2018/05/10/609117134/chinese-robocalls-bombarding-the-u-s-are-part-of-an-international-phone-scam|access-date=2021-04-08|website=NPR.org|language=en}}</ref> Penipu sering menargetkan imigran dan orang tua,<ref name=":22">{{Cite news|last=Hauser|first=Christine|date=2018-07-23|title=U.S. Breaks Up Vast I.R.S. Phone Scam|language=en-US|work=The New York Times|url=https://www.nytimes.com/2018/07/23/business/irs-phone-scams-jeff-sessions.html|access-date=2021-04-06|issn=0362-4331}}</ref> yang dipaksa untuk mengirim ratusan hingga ribuan dolar sebagai tanggapan atas ancaman penangkapan atau deportasi.<ref name=":12" />
Data rekening bank bukan satu-satunya informasi sensitif yang menjadi sasaran. Penipu terkadang juga mencoba mendapatkan kredensial keamanan dari konsumen yang menggunakan produk Microsoft atau Apple dengan memalsukan ID penelepon [[Microsoft]] atau [[Apple Inc]].


Data rekening bank bukan satu-satunya informasi sensitif yang menjadi sasaran. Penipu terkadang juga mencoba mendapatkan kredensial keamanan dari konsumen yang menggunakan produk Microsoft atau Apple dengan memalsukan ID penelepon [[Microsoft]] atau [[Apple Inc]].
Data rekening bank bukan satu-satunya informasi sensitif yang menjadi sasaran. Penipu terkadang juga mencoba mendapatkan kredensial keamanan dari konsumen yang menggunakan produk Microsoft atau Apple dengan memalsukan ID penelepon [[Microsoft]] atau [[Apple Inc]].
Baris 11: Baris 14:


== Terminologi ==
== Terminologi ==
* [[Rekayasa sosial (keamanan)|Rekayasa sosial]] - Penggunaan manipulasi psikologis, yang bertentangan dengan metode peretasan konvensional, untuk mendapatkan akses ke informasi rahasia.<ref name=":5">{{Cite journal|last1=Yeboah-Boateng|first1=Ezer|last2=Amanor|first2=Priscilla|title=Phishing, SMiShing & Vishing: An Assessment of Threats against Mobile Devices|url=http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.682.2634&rep=rep1&type=pdf|journal=Journal of Emerging Trends in Computing and Information Sciences|citeseerx=10.1.1.682.2634}}</ref>
* [[Rekayasa sosial (keamanan)|Rekayasa sosial]] - Penggunaan manipulasi psikologis, yang bertentangan dengan metode peretasan konvensional, untuk mendapatkan akses ke informasi rahasia.<ref name=":53">{{Cite journal|last1=Yeboah-Boateng|first1=Ezer|last2=Amanor|first2=Priscilla|title=Phishing, SMiShing & Vishing: An Assessment of Threats against Mobile Devices|url=http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.682.2634&rep=rep1&type=pdf|journal=Journal of Emerging Trends in Computing and Information Sciences|citeseerx=10.1.1.682.2634}}</ref>
* Spoofing ID Penelepon - Sebuah metode di mana penelepon dapat mengubah ID penelepon mereka sehingga nama atau nomor yang ditampilkan ke penerima panggilan berbeda dari nama penelepon.<ref name=":0">{{Cite journal|last1=Song|first1=Jaeseung|last2=Kim|first2=Hyoungshick|last3=Gkelias|first3=Athanasios|date=2014-10-01|title=iVisher: Real-Time Detection of Caller ID Spoofing|url=http://doi.wiley.com/10.4218/etrij.14.0113.0798|journal=ETRI Journal|language=en|volume=36|issue=5|pages=865–875|doi=10.4218/etrij.14.0113.0798|issn=1225-6463}}</ref> Phisher akan sering mengubah nomor mereka sehingga tampak familiar atau dapat dipercaya oleh penerima panggilan.<ref name=":3">{{Cite web|date=2011-05-04|title=Caller ID Spoofing|url=https://www.fcc.gov/spoofing|access-date=2021-04-06|website=Federal Communications Commission|language=en}}</ref> Metode umum termasuk memalsukan nomor dalam kode area penerima panggilan atau memalsukan nomor pemerintah sehingga panggilan tersebut tampak lebih dapat dipercaya atau akrab dan calon korban lebih mungkin menjawab panggilan tersebut.<ref name=":3" />
* Spoofing ID Penelepon - Sebuah metode di mana penelepon dapat mengubah ID penelepon mereka sehingga nama atau nomor yang ditampilkan ke penerima panggilan berbeda dari nama penelepon.<ref name=":02">{{Cite journal|last1=Song|first1=Jaeseung|last2=Kim|first2=Hyoungshick|last3=Gkelias|first3=Athanasios|date=2014-10-01|title=iVisher: Real-Time Detection of Caller ID Spoofing|url=http://doi.wiley.com/10.4218/etrij.14.0113.0798|journal=ETRI Journal|language=en|volume=36|issue=5|pages=865–875|doi=10.4218/etrij.14.0113.0798|issn=1225-6463}}</ref> Phisher akan sering mengubah nomor mereka sehingga tampak familiar atau dapat dipercaya oleh penerima panggilan.<ref name=":32">{{Cite web|date=2011-05-04|title=Caller ID Spoofing|url=https://www.fcc.gov/spoofing|access-date=2021-04-06|website=Federal Communications Commission|language=en}}</ref> Metode umum termasuk memalsukan nomor dalam kode area penerima panggilan atau memalsukan nomor pemerintah sehingga panggilan tersebut tampak lebih dapat dipercaya atau akrab dan calon korban lebih mungkin menjawab panggilan tersebut.<ref name=":32"/>
* [[Voice over IP|Voice over Internet Protocol (VoIP)]] - Juga dikenal sebagai IP telepon,<ref>{{Cite web|last=The AT&T Business Editorial Team|title=What is VoIP and how does it work?|url=https://www.business.att.com/learn/tech-advice/what-is-voip-and-how-does-it-work-.html|url-status=live}}</ref> VoIP adalah teknologi yang memungkinkan panggilan suara dilakukan melalui internet.<ref>{{Cite web|date=2010-11-18|title=Voice Over Internet Protocol (VoIP)|url=https://www.fcc.gov/general/voice-over-internet-protocol-voip|access-date=2021-04-08|website=Federal Communications Commission|language=en}}</ref> VoIP sering digunakan dalam serangan phishing karena memungkinkan penelepon untuk memalsukan ID penelepon mereka.<ref name=":6">{{Cite web|last=Federal Communications Commission|title=REPORT AND ORDER AND FURTHER NOTICE OF PROPOSED RULEMAKING|url=https://docs.fcc.gov/public/attachments/FCC-20-42A1.pdf|url-status=live}}</ref>
* [[Voice over IP|Voice over Internet Protocol (VoIP)]] - Juga dikenal sebagai IP telepon,<ref>{{Cite web|last=The AT&T Business Editorial Team|title=What is VoIP and how does it work?|url=https://www.business.att.com/learn/tech-advice/what-is-voip-and-how-does-it-work-.html|url-status=live}}</ref> VoIP adalah teknologi yang memungkinkan panggilan suara dilakukan melalui internet.<ref>{{Cite web|date=2010-11-18|title=Voice Over Internet Protocol (VoIP)|url=https://www.fcc.gov/general/voice-over-internet-protocol-voip|access-date=2021-04-08|website=Federal Communications Commission|language=en}}</ref> VoIP sering digunakan dalam serangan phishing karena memungkinkan penelepon untuk memalsukan ID penelepon mereka.<ref name=":62">{{Cite web|last=Federal Communications Commission|title=REPORT AND ORDER AND FURTHER NOTICE OF PROPOSED RULEMAKING|url=https://docs.fcc.gov/public/attachments/FCC-20-42A1.pdf|url-status=live}}</ref>


== Motif ==
== Motif ==
Motif umum termasuk imbalan finansial, anonimitas, dan ketenaran.<ref name=":4">{{Cite journal|last1=Khonji|first1=Mahmoud|last2=Iraqi|first2=Youssef|last3=Jones|first3=Andrew|title=Phishing Detection: A Literature Survey|url=http://romisatriawahono.net/lecture/rm/survey/network%20security/Khonji%20-%20Phishing%20Detection%20-%202013.pdf|journal=IEEE Communications Surveys & Tutorials|volume=15}}</ref> Informasi rahasia perbankan dapat dimanfaatkan untuk mengakses aset korban.<ref name=":4" /> Kredensial individu dapat dijual kepada individu yang ingin menyembunyikan identitas mereka untuk melakukan aktivitas tertentu, seperti memperoleh senjata. Anonimitas ini berbahaya dan mungkin sulit dilacak oleh penegak hukum. Alasan lain adalah bahwa phisher mungkin mencari ketenaran di antara komunitas serangan siber.<ref name=":4" />
Motif umum termasuk imbalan finansial, anonimitas, dan ketenaran.<ref name=":42">{{Cite journal|last1=Khonji|first1=Mahmoud|last2=Iraqi|first2=Youssef|last3=Jones|first3=Andrew|title=Phishing Detection: A Literature Survey|url=http://romisatriawahono.net/lecture/rm/survey/network%20security/Khonji%20-%20Phishing%20Detection%20-%202013.pdf|journal=IEEE Communications Surveys & Tutorials|volume=15}}</ref> Informasi rahasia perbankan dapat dimanfaatkan untuk mengakses aset korban.<ref name=":42"/> Kredensial individu dapat dijual kepada individu yang ingin menyembunyikan identitas mereka untuk melakukan aktivitas tertentu, seperti memperoleh senjata. Anonimitas ini berbahaya dan mungkin sulit dilacak oleh penegak hukum. Alasan lain adalah bahwa phisher mungkin mencari ketenaran di antara komunitas serangan siber.<ref name=":42"/>


== Operasi ==
== Operasi ==
Baris 28: Baris 31:


=== Metode umum dan penipuan ===
=== Metode umum dan penipuan ===
Penyerang phishing suara akan sering menggunakan rekayasa sosial untuk meyakinkan korban agar memberi mereka uang<ref name=":52">{{Cite journal|last1=Yeboah-Boateng|first1=Ezer|last2=Amanor|first2=Priscilla|title=Phishing, SMiShing & Vishing: An Assessment of Threats against Mobile Devices|url=http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.682.2634&rep=rep1&type=pdf|journal=Journal of Emerging Trends in Computing and Information Sciences|citeseerx=10.1.1.682.2634}}</ref> dan/atau akses ke data pribadi.<ref>{{Cite journal|last=Choi|first=Kwan|last2=Lee|first2=Ju-lak|last3=Chun|first3=Yong-tae|date=2017-05-01|title=Voice phishing fraud and its modus operandi|url=http://link.springer.com/10.1057/sj.2014.49|journal=Security Journal|language=en|volume=30|issue=2|pages=454–466|doi=10.1057/sj.2014.49|issn=0955-1662}}</ref> Umumnya, penipu akan berusaha menciptakan rasa urgensi dan/atau ketakutan akan otoritas untuk digunakan sebagai pengaruh terhadap korban.<ref name=":7" />
Penyerang phishing suara akan sering menggunakan rekayasa sosial untuk meyakinkan korban agar memberi mereka uang<ref name=":53"/> dan/atau akses ke data pribadi.<ref>{{Cite journal|last=Choi|first=Kwan|last2=Lee|first2=Ju-lak|last3=Chun|first3=Yong-tae|date=2017-05-01|title=Voice phishing fraud and its modus operandi|url=http://link.springer.com/10.1057/sj.2014.49|journal=Security Journal|language=en|volume=30|issue=2|pages=454–466|doi=10.1057/sj.2014.49|issn=0955-1662}}</ref> Umumnya, penipu akan berusaha menciptakan rasa urgensi dan/atau ketakutan akan otoritas untuk digunakan sebagai pengaruh terhadap korban.<ref name=":7" />


* '''Penipu palsu''' berpura-pura sebagai orang atau agen penting yang relatif terhadap korban dan menggunakan hubungan korban dengan orang atau agen penting untuk memanfaatkan dan menipu uang.
* '''Penipu palsu''' berpura-pura sebagai orang atau agen penting yang relatif terhadap korban dan menggunakan hubungan korban dengan orang atau agen penting untuk memanfaatkan dan menipu uang.
** '''Penipuan IRS''': Penipu menyamar sebagai pejabat IRS atau petugas imigrasi. Penipu kemudian mengancam akan dideportasi atau ditangkap jika korban tidak melunasi utangnya, meskipun sebenarnya korban tidak memiliki utang.
** '''Penipuan IRS''': Penipu menyamar sebagai pejabat IRS atau petugas imigrasi. Penipu kemudian mengancam akan dideportasi atau ditangkap jika korban tidak melunasi utangnya, meskipun sebenarnya korban tidak memiliki utang.
** '''Penipuan asmara''': Penipu berpura-pura sebagai kekasih potensial melalui aplikasi kencan atau hanya melalui panggilan telepon untuk berhubungan kembali dengan korban sebagai kekasih dari masa lalu yang membutuhkan uang darurat untuk beberapa alasan, seperti untuk perjalanan atau untuk melunasi hutang.<ref>{{Cite web|date=2019-06-05|title=What You Need to Know About Romance Scams|url=https://www.consumer.ftc.gov/articles/what-you-need-know-about-romance-scams|access-date=2021-04-08|website=Consumer Information|language=en}}</ref> Rekayasa sosial digunakan untuk meyakinkan korban bahwa penipu adalah bunga cinta. Dalam kasus ekstrim, penipu mungkin bertemu dengan korban dan mengambil foto aktivitas seksual untuk digunakan sebagai pengungkit terhadap korban.<ref>{{Cite web|last=新竹市警察局|date=2017-01-09|title=常見詐騙手法分析-新竹市政府|trans-title=Analisis Teknik Penipuan Umum-Pemerintah Kota Hsinchu|url=https://www.hccg.gov.tw/hccp/ch/home.jsp?id=132&parentpath=0,7,21&mcustomize=onemessages_view.jsp&toolsflag=Y&dataserno=201701090003&t=HccpOnes&mserno=201603210003|access-date=2021-04-08|website=新竹市警察局}}</ref>
** '''Penipuan asmara''': Penipu berpura-pura sebagai kekasih potensial melalui aplikasi kencan atau hanya melalui panggilan telepon untuk berhubungan kembali dengan korban sebagai kekasih dari masa lalu yang membutuhkan uang darurat untuk beberapa alasan, seperti untuk perjalanan atau untuk melunasi hutang.<ref>{{Cite web|date=2019-06-05|title=What You Need to Know About Romance Scams|url=https://www.consumer.ftc.gov/articles/what-you-need-know-about-romance-scams|access-date=2021-04-08|website=Consumer Information|language=en}}</ref> Rekayasa sosial digunakan untuk meyakinkan korban bahwa penipu adalah bunga cinta. Dalam kasus ekstrim, penipu mungkin bertemu dengan korban dan mengambil foto aktivitas seksual untuk digunakan sebagai pengungkit terhadap korban.<ref>{{Cite web|last=新竹市警察局|date=2017-01-09|title=常見詐騙手法分析-新竹市政府|trans-title=Analisis Teknik Penipuan Umum-Pemerintah Kota Hsinchu|url=https://www.hccg.gov.tw/hccp/ch/home.jsp?id=132&parentpath=0,7,21&mcustomize=onemessages_view.jsp&toolsflag=Y&dataserno=201701090003&t=HccpOnes&mserno=201603210003|access-date=2021-04-08|website=新竹市警察局}}</ref>
** '''Penipuan dukungan teknis''': Penipu berpura-pura sebagai dukungan teknis dan mengklaim bahwa ada virus yang mendesak, atau masalah teknis yang parah pada komputer korban. Penipu kemudian dapat menggunakan rasa urgensi untuk mendapatkan kendali jarak jauh dari komputer korban dengan meminta korban mengunduh perangkat lunak khusus untuk mendiagnosis masalah yang diduga.<ref name=":8">{{Cite web|date=2019-02-15|title=How to Spot, Avoid and Report Tech Support Scams|url=https://www.consumer.ftc.gov/articles/how-spot-avoid-and-report-tech-support-scams|access-date=2021-04-08|website=Consumer Information|language=en}}</ref> Setelah penipu mendapatkan kendali jarak jauh komputer, mereka dapat mengakses berkas atau informasi pribadi yang tersimpan di komputer atau menginstal malware.<ref name=":8" /> Kemungkinan lain adalah bahwa penipu dapat meminta pembayaran kepada korban untuk menyelesaikan masalah teknis yang seharusnya.<ref name=":8" />
** '''Penipuan dukungan teknis''': Penipu berpura-pura sebagai dukungan teknis dan mengklaim bahwa ada virus yang mendesak, atau masalah teknis yang parah pada komputer korban. Penipu kemudian dapat menggunakan rasa urgensi untuk mendapatkan kendali jarak jauh dari komputer korban dengan meminta korban mengunduh [[perangkat lunak]] khusus untuk mendiagnosis masalah yang diduga.<ref name=":8">{{Cite web|date=2019-02-15|title=How to Spot, Avoid and Report Tech Support Scams|url=https://www.consumer.ftc.gov/articles/how-spot-avoid-and-report-tech-support-scams|access-date=2021-04-08|website=Consumer Information|language=en}}</ref> Setelah penipu mendapatkan kendali jarak jauh komputer, mereka dapat mengakses berkas atau informasi pribadi yang tersimpan di komputer atau menginstal malware.<ref name=":8" /> Kemungkinan lain adalah bahwa penipu dapat meminta pembayaran kepada korban untuk menyelesaikan masalah teknis yang seharusnya.<ref name=":8" />
* '''Penipuan penghapusan utang dan perbaikan kredit'''
* '''Penipuan penghapusan utang dan perbaikan kredit'''
** Penipu menyamar sebagai perusahaan dan mengklaim kemampuan untuk meringankan utang atau memperbaiki kredit. Penipu meminta biaya perusahaan untuk layanan tersebut. Biasanya, melakukan tindakan ini justru akan menurunkan skor kredit.<ref name=":9">{{Cite web|date=2019-09-25|title=Phone Scams|url=https://www.consumer.ftc.gov/articles/0208-phone-scams|access-date=2021-04-08|website=Consumer Information|language=en}}</ref>
** Penipu menyamar sebagai perusahaan dan mengklaim kemampuan untuk meringankan utang atau memperbaiki kredit. Penipu meminta biaya perusahaan untuk layanan tersebut. Biasanya, melakukan tindakan ini justru akan menurunkan skor kredit.<ref name=":92">{{Cite web|date=2019-09-25|title=Phone Scams|url=https://www.consumer.ftc.gov/articles/0208-phone-scams|access-date=2021-04-08|website=Consumer Information|language=en}}</ref>
* '''Penipuan bisnis dan investasi'''
* '''Penipuan bisnis dan investasi'''
** Penipu berpura-pura sebagai ahli keuangan untuk meyakinkan korban untuk menawarkan uang untuk investasi.<ref name=":9" />
** Penipu berpura-pura sebagai ahli keuangan untuk meyakinkan korban untuk menawarkan uang untuk investasi.<ref name=":92"/>
* '''Penipuan Amal'''
* '''Penipuan Amal'''
** Penipu bermodus sebagai anggota amal untuk meyakinkan korban untuk menyumbang untuk tujuan mereka. Organisasi palsu ini sebenarnya tidak melakukan pekerjaan amal apa pun dan sebagai gantinya, uang yang disumbangkan langsung masuk ke penipu.<ref>{{Cite web|title=Charity and Disaster Fraud|url=https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/charity-and-disaster-fraud|access-date=2021-04-08|website=Federal Bureau of Investigation|language=en-us}}</ref>
** Penipu bermodus sebagai anggota amal untuk meyakinkan korban untuk menyumbang untuk tujuan mereka. Organisasi palsu ini sebenarnya tidak melakukan pekerjaan amal apa pun dan sebagai gantinya, uang yang disumbangkan langsung masuk ke penipu.<ref>{{Cite web|title=Charity and Disaster Fraud|url=https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/charity-and-disaster-fraud|access-date=2021-04-08|website=Federal Bureau of Investigation|language=en-us}}</ref>
Baris 43: Baris 46:
** Penipu membuat panggilan palsu mengenai garansi mobil korban dan menawarkan opsi untuk memperbarui garansi.<ref name=":10">{{Cite web|date=2011-02-11|title=Watch out for Auto Warranty Scams|url=https://www.fcc.gov/consumers/guides/beware-auto-warranty-scams|access-date=2021-04-08|website=Federal Communications Commission|language=en}}</ref> Penelepon mungkin memiliki informasi tentang mobil korban, sehingga tawaran mereka tampak lebih sah.<ref name=":10" /> Penelepon dapat menggunakan penipuan garansi otomatis untuk mengumpulkan informasi pribadi tentang korban mereka, atau untuk mengumpulkan uang jika korban memutuskan untuk membeli garansi yang diusulkan.<ref>{{Cite web|last=Giorgianni|first=Anthony|title=Don't Fall for the Car Warranty Scam|url=https://www.consumerreports.org/money/dont-fall-for-car-warranty-scam/|access-date=2021-04-08|website=Consumer Reports|language=en-US}}</ref>
** Penipu membuat panggilan palsu mengenai garansi mobil korban dan menawarkan opsi untuk memperbarui garansi.<ref name=":10">{{Cite web|date=2011-02-11|title=Watch out for Auto Warranty Scams|url=https://www.fcc.gov/consumers/guides/beware-auto-warranty-scams|access-date=2021-04-08|website=Federal Communications Commission|language=en}}</ref> Penelepon mungkin memiliki informasi tentang mobil korban, sehingga tawaran mereka tampak lebih sah.<ref name=":10" /> Penelepon dapat menggunakan penipuan garansi otomatis untuk mengumpulkan informasi pribadi tentang korban mereka, atau untuk mengumpulkan uang jika korban memutuskan untuk membeli garansi yang diusulkan.<ref>{{Cite web|last=Giorgianni|first=Anthony|title=Don't Fall for the Car Warranty Scam|url=https://www.consumerreports.org/money/dont-fall-for-car-warranty-scam/|access-date=2021-04-08|website=Consumer Reports|language=en-US}}</ref>
* '''Penipuan Paket'''
* '''Penipuan Paket'''
** Menargetkan populasi imigrasi, penipu mengklaim bahwa korban memiliki paket yang perlu diambil. Penipu itu awalnya menyamar sebagai perusahaan kurir. Paket yang tidak ada terhubung ke kasus pidana keuangan. Penipu yang menyamar sebagai perusahaan pengiriman, memindahkan korban ke penipu lain yang menyamar sebagai polisi negara asing. Penipu yang menyamar sebagai polisi akan mengklaim korban dicurigai dan perlu diselidiki dalam penyelidikan pencucian uang palsu. Hal ini dilakukan dengan meyakinkan korban bahwa identitasnya telah dicuri. Penipu kemudian meyakinkan korban untuk mengirim uang ke "polisi" untuk melakukan penyelidikan atas uang di bank mereka.<ref>{{Cite web|title=Chinese Robocalls Bombarding The U.S. Are Part Of An International Phone Scam|url=https://www.npr.org/2018/05/10/609117134/chinese-robocalls-bombarding-the-u-s-are-part-of-an-international-phone-scam|access-date=2021-04-08|website=NPR.org|language=en}}</ref> Selama proses, penipu dapat mengambil langkah ekstra untuk mengklaim bahwa mereka bukan penipu dengan menegaskan kembali bahwa polisi tidak akan meminta kredensial pribadi atau informasi rekening bank.
** Menargetkan populasi imigrasi, penipu mengklaim bahwa korban memiliki paket yang perlu diambil. Penipu itu awalnya menyamar sebagai perusahaan kurir. Paket yang tidak ada terhubung ke kasus pidana keuangan. Penipu yang menyamar sebagai perusahaan pengiriman, memindahkan korban ke penipu lain yang menyamar sebagai polisi negara asing. Penipu yang menyamar sebagai polisi akan mengklaim korban dicurigai dan perlu diselidiki dalam penyelidikan [[pencucian uang]] palsu. Hal ini dilakukan dengan meyakinkan korban bahwa identitasnya telah dicuri. Penipu kemudian meyakinkan korban untuk mengirim uang ke "polisi" untuk melakukan penyelidikan atas uang di bank mereka.<ref name="npr.org"/> Selama proses, penipu dapat mengambil langkah ekstra untuk mengklaim bahwa mereka bukan penipu dengan menegaskan kembali bahwa polisi tidak akan meminta kredensial pribadi atau informasi rekening bank.
* '''Penipuan penculikan'''
* '''Penipuan penculikan'''
** Penipu akan menelepon dan mengklaim bahwa mereka telah menculik kerabat dekat atau orang yang dicintai. Ini dilakukan dengan melakukan penelitian terlebih dahulu atau menggunakan taktik dan asumsi rekayasa sosial untuk mengumpulkan informasi dari kerabat korban. Misalnya, karena lansia lebih rentan terhadap penipuan dibandingkan dengan populasi rata-rata, penipu dapat berasumsi bahwa orang tua mungkin memiliki anak atau cucu. Penipu akan mengancam akan menyakiti kerabat jika korban menutup telepon.<ref>{{Cite web|title=FBI Warns Public of 'Virtual Kidnapping' Extortion Calls — FBI|url=https://www.fbi.gov/contact-us/field-offices/elpaso/news/press-releases/fbi-warns-public-of-virtual-kidnapping-extortion-calls|access-date=2021-04-08|website=www.fbi.gov|language=en-us}}</ref> Dalam kasus tertentu penipu bahkan akan membiarkan korban berbicara dengan "saudara yang diculik <nowiki>"</nowiki> tetapi karena ketakutan, kebingungan, dan efek telepon pada suara seseorang, korban mungkin tidak menyadari bahwa kerabat palsu yang diculik sebenarnya bukanlah orang yang diculik relatif.<ref>{{Cite web|last=刑事警察大隊|date=2015-11-26|title=遇到假綁架詐騙別心慌 冷靜求證不受騙|trans-title=Jangan panik saat menghadapi penipuan penculikan palsu, verifikasi dengan tenang bahwa Anda tidak tertipu|url=https://www.police.ntpc.gov.tw/fp-21-17095-1.html|access-date=2021-04-08|website=刑事警察大隊}}</ref>
** Penipu akan menelepon dan mengklaim bahwa mereka telah menculik kerabat dekat atau orang yang dicintai. Ini dilakukan dengan melakukan penelitian terlebih dahulu atau menggunakan taktik dan asumsi rekayasa sosial untuk mengumpulkan informasi dari kerabat korban. Misalnya, karena lansia lebih rentan terhadap penipuan dibandingkan dengan populasi rata-rata, penipu dapat berasumsi bahwa orang tua mungkin memiliki anak atau cucu. Penipu akan mengancam akan menyakiti kerabat jika korban menutup telepon.<ref>{{Cite web|title=FBI Warns Public of 'Virtual Kidnapping' Extortion Calls — FBI|url=https://www.fbi.gov/contact-us/field-offices/elpaso/news/press-releases/fbi-warns-public-of-virtual-kidnapping-extortion-calls|access-date=2021-04-08|website=www.fbi.gov|language=en-us}}</ref> Dalam kasus tertentu penipu bahkan akan membiarkan korban berbicara dengan "saudara yang diculik <nowiki>"</nowiki> tetapi karena ketakutan, kebingungan, dan efek telepon pada suara seseorang, korban mungkin tidak menyadari bahwa kerabat palsu yang diculik sebenarnya bukanlah orang yang diculik relatif.<ref>{{Cite web|last=刑事警察大隊|date=2015-11-26|title=遇到假綁架詐騙別心慌 冷靜求證不受騙|trans-title=Jangan panik saat menghadapi penipuan penculikan palsu, verifikasi dengan tenang bahwa Anda tidak tertipu|url=https://www.police.ntpc.gov.tw/fp-21-17095-1.html|access-date=2021-04-08|website=刑事警察大隊}}</ref>


== Deteksi dan pencegahan ==
== Deteksi dan pencegahan ==
Serangan phishing suara bisa sulit dikenali oleh korban karena lembaga yang sah seperti bank terkadang meminta informasi pribadi yang sensitif melalui telepon.<ref name=":02">{{Cite journal|last1=Song|first1=Jaeseung|last2=Kim|first2=Hyoungshick|last3=Gkelias|first3=Athanasios|date=2014-10-01|title=iVisher: Real-Time Detection of Caller ID Spoofing|url=http://doi.wiley.com/10.4218/etrij.14.0113.0798|journal=ETRI Journal|language=en|volume=36|issue=5|pages=865–875|doi=10.4218/etrij.14.0113.0798|issn=1225-6463}}</ref> Skema phishing dapat menggunakan pesan yang direkam sebelumnya dari bank regional terkemuka untuk membuatnya tidak dapat dibedakan dari panggilan yang sah.{{cn|date=Oktober 2021}} Selain itu, korban, khususnya orang tua,<ref name=":02" /> mungkin lupa atau tidak tahu tentang kemampuan penipu untuk mengubah ID penelepon mereka, membuat mereka lebih rentan terhadap serangan phishing suara.<ref name=":53">{{Cite journal|last1=Yeboah-Boateng|first1=Ezer|last2=Amanor|first2=Priscilla|title=Phishing, SMiShing & Vishing: An Assessment of Threats against Mobile Devices|url=http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.682.2634&rep=rep1&type=pdf|journal=Journal of Emerging Trends in Computing and Information Sciences|citeseerx=10.1.1.682.2634}}</ref>
Serangan phishing suara bisa sulit dikenali oleh korban karena lembaga yang sah seperti bank terkadang meminta informasi pribadi yang sensitif melalui telepon.<ref name=":02"/> Skema phishing dapat menggunakan pesan yang direkam sebelumnya dari bank regional terkemuka untuk membuatnya tidak dapat dibedakan dari panggilan yang sah.<ref>{{Cite web|last=Prastyo|first=Hadi|date=2023-05-30|title=Mendeteksi dan Mencegah Serangan Phishing untuk Pengguna Akhir|url=https://www.inixindo.id/mendeteksi-dan-mencegah-serangan-phishing-untuk-pengguna-akhir/|website=Inixindo|language=en-US|access-date=2024-01-13}}</ref> Selain itu, korban, khususnya orang tua,<ref name=":02" /> mungkin lupa atau tidak tahu tentang kemampuan penipu untuk mengubah ID penelepon mereka, membuat mereka lebih rentan terhadap serangan phishing suara.<ref name=":53"/>


[[Komisi Perdagangan Federal AS|Komisi Perdagangan Federal AS (FTC)]] menyarankan beberapa cara bagi konsumen rata-rata untuk mendeteksi penipuan telepon.<ref name=":92">{{Cite web|date=2019-09-25|title=Phone Scams|url=https://www.consumer.ftc.gov/articles/0208-phone-scams|access-date=2021-04-08|website=Consumer Information|language=en}}</ref> FTC memperingatkan agar tidak melakukan pembayaran menggunakan uang tunai, kartu hadiah, dan kartu prabayar, dan menegaskan bahwa lembaga pemerintah tidak menelepon warga untuk mendiskusikan informasi pribadi seperti nomor Jaminan Sosial.<ref name=":92" /> Selain itu, calon korban dapat memperhatikan karakteristik panggilan telepon, seperti nada atau aksen penelepon<ref name=":02" /><ref>{{Cite web|last=Shamah|first=David|title=Anatomy of an Iranian hack attack: How an Israeli professor got stung|url=http://www.timesofisrael.com/anatomy-of-an-iranian-hack-attack-how-an-israeli-professor-got-stung/|access-date=2021-04-08|website=www.timesofisrael.com|language=en-US}}</ref> atau urgensi panggilan telepon untuk menentukan sah atau tidaknya panggilan tersebut.
[[Komisi Perdagangan Federal AS|Komisi Perdagangan Federal AS (FTC)]] menyarankan beberapa cara bagi konsumen rata-rata untuk mendeteksi penipuan telepon.<ref name=":92"/> FTC memperingatkan agar tidak melakukan pembayaran menggunakan uang tunai, kartu hadiah, dan kartu prabayar, dan menegaskan bahwa lembaga pemerintah tidak menelepon warga untuk mendiskusikan informasi pribadi seperti nomor Jaminan Sosial.<ref name=":92" /> Selain itu, calon korban dapat memperhatikan karakteristik panggilan telepon, seperti nada atau aksen penelepon<ref name=":02" /><ref>{{Cite web|last=Shamah|first=David|title=Anatomy of an Iranian hack attack: How an Israeli professor got stung|url=http://www.timesofisrael.com/anatomy-of-an-iranian-hack-attack-how-an-israeli-professor-got-stung/|access-date=2021-04-08|website=www.timesofisrael.com|language=en-US}}</ref> atau urgensi panggilan telepon untuk menentukan sah atau tidaknya panggilan tersebut.


Strategi utama yang direkomendasikan oleh FTC untuk menghindari menjadi korban phishing suara adalah tidak menjawab panggilan dari nomor yang tidak dikenal.<ref name=":32">{{Cite web|date=2011-05-04|title=Caller ID Spoofing|url=https://www.fcc.gov/spoofing|access-date=2021-04-06|website=Federal Communications Commission|language=en}}</ref> Namun, ketika Penipu menggunakan VoIP untuk menipu ID penelepon mereka, atau dalam keadaan di mana korban menjawab panggilan, strategi lain termasuk tidak menekan tombol saat diminta, dan tidak menjawab pertanyaan yang diajukan oleh penelepon yang mencurigakan.<ref name=":32" />
Strategi utama yang direkomendasikan oleh FTC untuk menghindari menjadi korban phishing suara adalah tidak menjawab panggilan dari nomor yang tidak dikenal.<ref name=":32"/> Namun, ketika Penipu menggunakan VoIP untuk menipu ID penelepon mereka, atau dalam keadaan di mana korban menjawab panggilan, strategi lain termasuk tidak menekan tombol saat diminta, dan tidak menjawab pertanyaan yang diajukan oleh penelepon yang mencurigakan.<ref name=":32" />


Pada tanggal 31 Maret 2020, dalam upaya untuk mengurangi serangan vishing yang memanfaatkan spoofing ID penelepon, Komisi Komunikasi Federal AS mengadopsi serangkaian mandat yang dikenal sebagai [[STIR/SHAKEN]], kerangka kerja yang dimaksudkan untuk digunakan oleh perusahaan telepon untuk mengautentikasi informasi ID penelepon.<ref name=":62">{{Cite web|last=Federal Communications Commission|title=REPORT AND ORDER AND FURTHER NOTICE OF PROPOSED RULEMAKING|url=https://docs.fcc.gov/public/attachments/FCC-20-42A1.pdf|url-status=live}}</ref> Semua penyedia layanan telepon AS memiliki waktu hingga 30 Juni 2021 untuk mematuhi pesanan dan mengintegrasikan [[STIR/SHAKEN]] ke dalam infrastruktur mereka untuk mengurangi dampak spoofing ID penelepon.<ref name=":62" />
Pada tanggal 31 Maret 2020, dalam upaya untuk mengurangi serangan vishing yang memanfaatkan spoofing ID penelepon, Komisi Komunikasi Federal AS mengadopsi serangkaian mandat yang dikenal sebagai [[STIR/SHAKEN]], kerangka kerja yang dimaksudkan untuk digunakan oleh perusahaan telepon untuk mengautentikasi informasi ID penelepon.<ref name=":62"/> Semua penyedia layanan telepon AS memiliki waktu hingga 30 Juni 2021 untuk mematuhi pesanan dan mengintegrasikan [[STIR/SHAKEN]] ke dalam [[infrastruktur]] mereka untuk mengurangi dampak spoofing ID penelepon.<ref name=":62" />


Di beberapa negara, media sosial digunakan untuk menelepon dan berkomunikasi dengan publik. Pada platform media sosial tertentu, profil pemerintah dan bank diverifikasi dan profil pemerintah dan bank yang tidak diverifikasi akan menjadi profil palsu.<ref>{{Cite web|title=內政部警政署 165 全民防騙網|trans-title=Departemen Kepolisian Kementerian Dalam Negeri 165 Jaringan Penipuan Nasional|url=https://165.npa.gov.tw/#/article/rumor/76|access-date=2021-04-08|website=165.npa.gov.tw}}</ref>
Di beberapa negara, media sosial digunakan untuk menelepon dan berkomunikasi dengan publik. Pada platform media sosial tertentu, profil pemerintah dan bank diverifikasi dan profil pemerintah dan bank yang tidak diverifikasi akan menjadi profil palsu.<ref>{{Cite web|title=內政部警政署 165 全民防騙網|trans-title=Departemen Kepolisian Kementerian Dalam Negeri 165 Jaringan Penipuan Nasional|url=https://165.npa.gov.tw/#/article/rumor/76|access-date=2021-04-08|website=165.npa.gov.tw}}</ref>


== Solusi ==
== Solusi ==
Strategi mitigasi yang paling langsung dan efektif adalah melatih masyarakat umum untuk memahami ciri-ciri umum serangan phishing suara untuk mendeteksi pesan phishing.<ref name=":42">{{Cite journal|last1=Khonji|first1=Mahmoud|last2=Iraqi|first2=Youssef|last3=Jones|first3=Andrew|title=Phishing Detection: A Literature Survey|url=http://romisatriawahono.net/lecture/rm/survey/network%20security/Khonji%20-%20Phishing%20Detection%20-%202013.pdf|journal=IEEE Communications Surveys & Tutorials|volume=15}}</ref> Pendekatan yang lebih teknis adalah penggunaan metode deteksi perangkat lunak. Secara umum, mekanisme seperti itu dapat membedakan antara panggilan phishing dan pesan jujur dan dapat diimplementasikan dengan lebih murah daripada pelatihan publik.<ref name=":42" />
Strategi mitigasi yang paling langsung dan efektif adalah melatih masyarakat umum untuk memahami ciri-ciri umum serangan phishing suara untuk mendeteksi pesan phishing.<ref name=":42"/> Pendekatan yang lebih teknis adalah penggunaan metode deteksi perangkat lunak. Secara umum, mekanisme seperti itu dapat membedakan antara panggilan phishing dan pesan jujur dan dapat diimplementasikan dengan lebih murah daripada pelatihan publik.<ref name=":42" />


== Deteksi phishing ==
== Deteksi phishing ==
Metode deteksi phishing yang mudah adalah penggunaan daftar hitam. Penelitian terbaru telah berusaha untuk membuat perbedaan yang akurat antara panggilan yang sah dan serangan phishing menggunakan Kecerdasan Buatan dan analisis data.<ref name=":11">{{Cite journal|last1=Kim|first1=Jeong-Wook|last2=Hong|first2=Gi-Wan|last3=Chang|first3=Hangbae|title=Voice Recognition and Document Classification-Based Data Analysis for Voice Phishing Detection|url=http://hcisj.com/data/file/article/202101281/hcis.pdf|journal=Human-centric Computing and Information Sciences}}</ref> Dengan menganalisis dan mengubah panggilan telepon menjadi teks, mekanisme kecerdasan buatan seperti [[Pemrosesan bahasa alami]] dapat digunakan untuk mengidentifikasi apakah panggilan telepon tersebut merupakan serangan phishing.<ref name=":11" />
Metode deteksi phishing yang mudah adalah penggunaan daftar hitam. Penelitian terbaru telah berusaha untuk membuat perbedaan yang akurat antara panggilan yang sah dan serangan phishing menggunakan [[Kecerdasan buatan|Kecerdasan Buatan]] dan analisis data.<ref name=":11">{{Cite journal|last1=Kim|first1=Jeong-Wook|last2=Hong|first2=Gi-Wan|last3=Chang|first3=Hangbae|title=Voice Recognition and Document Classification-Based Data Analysis for Voice Phishing Detection|url=http://hcisj.com/data/file/article/202101281/hcis.pdf|journal=Human-centric Computing and Information Sciences}}</ref> Dengan menganalisis dan mengubah panggilan telepon menjadi teks, mekanisme kecerdasan buatan seperti [[Pemrosesan bahasa alami]] dapat digunakan untuk mengidentifikasi apakah panggilan telepon tersebut merupakan serangan phishing.<ref name=":11" />


== Pendekatan ofensif ==
== Pendekatan ofensif ==
Sistem khusus, seperti aplikasi telepon, dapat mengirimkan data palsu ke panggilan phishing. Selain itu, berbagai lembaga penegak hukum terus berupaya untuk mencegah penipu melakukan panggilan phishing dengan menjatuhkan hukuman yang lebih keras kepada penyerang.<ref name=":42" /><ref name=":62" />
Sistem khusus, seperti aplikasi telepon, dapat mengirimkan data palsu ke panggilan phishing. Selain itu, berbagai lembaga penegak hukum terus berupaya untuk mencegah penipu melakukan panggilan phishing dengan menjatuhkan hukuman yang lebih keras kepada penyerang.<ref name=":62" /><ref name=":42" />


== Referensi ==
== Referensi ==
Baris 74: Baris 77:
* [https://www.bbc.co.uk/news/business-34153962 Caught on tape: How phone scammers tricked a victim out of £12,000 By Joe Lynam & Ben Carter BBC News]
* [https://www.bbc.co.uk/news/business-34153962 Caught on tape: How phone scammers tricked a victim out of £12,000 By Joe Lynam & Ben Carter BBC News]
* Cerita vnunet.com: [http://www.vnunet.com/vnunet/news/2160004/cyber-criminals-talk-voip Cyber-criminals switch to VoIP "vishing"]
* Cerita vnunet.com: [http://www.vnunet.com/vnunet/news/2160004/cyber-criminals-talk-voip Cyber-criminals switch to VoIP "vishing"]
* Cerita BBC News: [http://news.bbc.co.uk/1/hi/technology/5187518.stm Criminals exploit net phone calls]
* Cerita [[BBC News]]: [http://news.bbc.co.uk/1/hi/technology/5187518.stm Criminals exploit net phone calls]
* The Paper PC: [http://paperpc.blogspot.com/2006/10/messaging-security-2006-vishing-next.html Messaging Security 2006: Vishing: The Next Big Cyber Headache?]
* The Paper PC: [http://paperpc.blogspot.com/2006/10/messaging-security-2006-vishing-next.html Messaging Security 2006: Vishing: The Next Big Cyber Headache?]
* The Register: [https://www.theregister.co.uk/2008/01/21/fbi_vishing_warning/ FBI warns over "alarming" rise in American "vishing"]
* The Register: [https://www.theregister.co.uk/2008/01/21/fbi_vishing_warning/ FBI warns over "alarming" rise in American "vishing"]

Revisi per 15 Mei 2024 08.41


Pengelabuan suara, atau vishing,[1] adalah penggunaan telepon (sering kali Voice over IP telephony) untuk melakukan serangan phishing.

Layanan telepon darat secara tradisional dapat dipercaya; diakhiri di lokasi fisik yang diketahui oleh perusahaan telepon, dan terkait dengan pembayar tagihan. Namun sekarang, penipu vishing sering menggunakan fitur Voice over IP (VoIP) modern seperti spoofing ID penelepon dan sistem otomatis (IVR) untuk menghalangi deteksi oleh lembaga penegak hukum. Phishing suara biasanya digunakan untuk mencuri nomor kartu kredit atau informasi lain yang digunakan dalam skema pencurian identitas dari individu.

Biasanya, serangan phishing suara dilakukan menggunakan sistem text-to-speech otomatis yang mengarahkan korban untuk memanggil nomor yang dikendalikan oleh penyerang, namun beberapa menggunakan penelepon langsung.[1] Menyamar sebagai karyawan dari badan yang sah seperti bank, polisi, telepon atau penyedia internet, penipu berusaha untuk mendapatkan informasi pribadi dan informasi keuangan mengenai kartu kredit, rekening bank (misalnya PIN), serta informasi pribadi korban. Dengan informasi yang diterima, penipu mungkin dapat mengakses dan mengosongkan akun atau melakukan penipuan identitas. Beberapa penipu mungkin juga mencoba membujuk korban untuk mentransfer uang ke rekening bank lain atau menarik uang tunai untuk diberikan kepada mereka secara langsung.[2] Penelepon juga sering menyamar sebagai penegak hukum atau sebagai pegawai Layanan Pendapatan Internal.[3][4] Penipu sering menargetkan imigran dan orang tua,[5] yang dipaksa untuk mengirim ratusan hingga ribuan dolar sebagai tanggapan atas ancaman penangkapan atau deportasi.[3] Data rekening bank bukan satu-satunya informasi sensitif yang menjadi sasaran. Penipu terkadang juga mencoba mendapatkan kredensial keamanan dari konsumen yang menggunakan produk Microsoft atau Apple dengan memalsukan ID penelepon Microsoft atau Apple Inc.

Data rekening bank bukan satu-satunya informasi sensitif yang menjadi sasaran. Penipu terkadang juga mencoba mendapatkan kredensial keamanan dari konsumen yang menggunakan produk Microsoft atau Apple dengan memalsukan ID penelepon Microsoft atau Apple Inc.

Audio deepfake telah digunakan untuk melakukan penipuan, dengan membodohi orang dengan berpikir bahwa mereka menerima instruksi dari individu yang tepercaya.[6]

Terminologi

  • Rekayasa sosial - Penggunaan manipulasi psikologis, yang bertentangan dengan metode peretasan konvensional, untuk mendapatkan akses ke informasi rahasia.[7]
  • Spoofing ID Penelepon - Sebuah metode di mana penelepon dapat mengubah ID penelepon mereka sehingga nama atau nomor yang ditampilkan ke penerima panggilan berbeda dari nama penelepon.[8] Phisher akan sering mengubah nomor mereka sehingga tampak familiar atau dapat dipercaya oleh penerima panggilan.[9] Metode umum termasuk memalsukan nomor dalam kode area penerima panggilan atau memalsukan nomor pemerintah sehingga panggilan tersebut tampak lebih dapat dipercaya atau akrab dan calon korban lebih mungkin menjawab panggilan tersebut.[9]
  • Voice over Internet Protocol (VoIP) - Juga dikenal sebagai IP telepon,[10] VoIP adalah teknologi yang memungkinkan panggilan suara dilakukan melalui internet.[11] VoIP sering digunakan dalam serangan phishing karena memungkinkan penelepon untuk memalsukan ID penelepon mereka.[12]

Motif

Motif umum termasuk imbalan finansial, anonimitas, dan ketenaran.[13] Informasi rahasia perbankan dapat dimanfaatkan untuk mengakses aset korban.[13] Kredensial individu dapat dijual kepada individu yang ingin menyembunyikan identitas mereka untuk melakukan aktivitas tertentu, seperti memperoleh senjata. Anonimitas ini berbahaya dan mungkin sulit dilacak oleh penegak hukum. Alasan lain adalah bahwa phisher mungkin mencari ketenaran di antara komunitas serangan siber.[13]

Operasi

Phishing suara datang dalam berbagai bentuk. Ada berbagai metode dan berbagai struktur operasi untuk berbagai jenis phishing. Biasanya, penipu akan menggunakan rekayasa sosial untuk meyakinkan korban tentang peran yang mereka mainkan dan untuk menciptakan rasa urgensi untuk memanfaatkan korban.

Phishing suara memiliki atribut unik yang memisahkan metode serangan dari alternatif serupa seperti phishing email. Dengan meningkatnya jangkauan ponsel, vishing memungkinkan penargetan individu tanpa pengetahuan tentang email tetapi yang memiliki telepon, seperti orang tua. Prevalensi historis pusat panggilan yang meminta informasi pribadi dan rahasia juga memungkinkan ekstraksi informasi sensitif dari korban dengan lebih mudah karena kepercayaan yang dimiliki banyak pengguna saat berbicara dengan seseorang di telepon. Melalui komunikasi suara, serangan phishing dapat menjadi lebih menarik dan karena itu lebih berdampak daripada alternatif serupa seperti email. Waktu respons yang lebih cepat terhadap upaya serangan karena peningkatan aksesibilitas ke telepon adalah aspek unik lainnya, dibandingkan dengan email di mana korban mungkin membutuhkan waktu lebih lama untuk merespons.[14] Nomor telepon sulit untuk diblokir dan penipu sering kali dapat dengan mudah mengubah nomor telepon jika nomor tertentu diblokir dan sering kali menemukan cara untuk mengatasi aturan dan peraturan. Perusahaan telepon dan pemerintah terus mencari cara baru untuk mengekang panggilan penipuan palsu.[15]

Mekanisme inisiasi

Serangan phishing suara dapat dimulai melalui mekanisme pengiriman yang berbeda.[16] Seorang penipu dapat langsung menelepon korban dan berpura-pura menjadi orang yang dapat dipercaya dengan memalsukan ID penelepon mereka, muncul di telepon sebagai pejabat atau seseorang di sekitar.[16] Penipu juga dapat mengirimkan pesan ancaman yang direkam sebelumnya ke kotak masuk pesan suara korban untuk memaksa korban mengambil tindakan. [16] Korban juga dapat menerima pesan teks yang meminta mereka untuk menelepon nomor tertentu dan dikenakan biaya untuk menelepon nomor tertentu.[16] Selain itu, korban mungkin menerima email yang menyamar sebagai bank; Korban kemudian dapat dipaksa untuk memberikan informasi pribadi, seperti PIN, nomor rekening, atau kredensial otentikasi lainnya dalam panggilan telepon.[16]

Metode umum dan penipuan

Penyerang phishing suara akan sering menggunakan rekayasa sosial untuk meyakinkan korban agar memberi mereka uang[7] dan/atau akses ke data pribadi.[17] Umumnya, penipu akan berusaha menciptakan rasa urgensi dan/atau ketakutan akan otoritas untuk digunakan sebagai pengaruh terhadap korban.[16]

  • Penipu palsu berpura-pura sebagai orang atau agen penting yang relatif terhadap korban dan menggunakan hubungan korban dengan orang atau agen penting untuk memanfaatkan dan menipu uang.
    • Penipuan IRS: Penipu menyamar sebagai pejabat IRS atau petugas imigrasi. Penipu kemudian mengancam akan dideportasi atau ditangkap jika korban tidak melunasi utangnya, meskipun sebenarnya korban tidak memiliki utang.
    • Penipuan asmara: Penipu berpura-pura sebagai kekasih potensial melalui aplikasi kencan atau hanya melalui panggilan telepon untuk berhubungan kembali dengan korban sebagai kekasih dari masa lalu yang membutuhkan uang darurat untuk beberapa alasan, seperti untuk perjalanan atau untuk melunasi hutang.[18] Rekayasa sosial digunakan untuk meyakinkan korban bahwa penipu adalah bunga cinta. Dalam kasus ekstrim, penipu mungkin bertemu dengan korban dan mengambil foto aktivitas seksual untuk digunakan sebagai pengungkit terhadap korban.[19]
    • Penipuan dukungan teknis: Penipu berpura-pura sebagai dukungan teknis dan mengklaim bahwa ada virus yang mendesak, atau masalah teknis yang parah pada komputer korban. Penipu kemudian dapat menggunakan rasa urgensi untuk mendapatkan kendali jarak jauh dari komputer korban dengan meminta korban mengunduh perangkat lunak khusus untuk mendiagnosis masalah yang diduga.[20] Setelah penipu mendapatkan kendali jarak jauh komputer, mereka dapat mengakses berkas atau informasi pribadi yang tersimpan di komputer atau menginstal malware.[20] Kemungkinan lain adalah bahwa penipu dapat meminta pembayaran kepada korban untuk menyelesaikan masalah teknis yang seharusnya.[20]
  • Penipuan penghapusan utang dan perbaikan kredit
    • Penipu menyamar sebagai perusahaan dan mengklaim kemampuan untuk meringankan utang atau memperbaiki kredit. Penipu meminta biaya perusahaan untuk layanan tersebut. Biasanya, melakukan tindakan ini justru akan menurunkan skor kredit.[21]
  • Penipuan bisnis dan investasi
    • Penipu berpura-pura sebagai ahli keuangan untuk meyakinkan korban untuk menawarkan uang untuk investasi.[21]
  • Penipuan Amal
    • Penipu bermodus sebagai anggota amal untuk meyakinkan korban untuk menyumbang untuk tujuan mereka. Organisasi palsu ini sebenarnya tidak melakukan pekerjaan amal apa pun dan sebagai gantinya, uang yang disumbangkan langsung masuk ke penipu.[22]
  • Penipuan garansi mobil
    • Penipu membuat panggilan palsu mengenai garansi mobil korban dan menawarkan opsi untuk memperbarui garansi.[23] Penelepon mungkin memiliki informasi tentang mobil korban, sehingga tawaran mereka tampak lebih sah.[23] Penelepon dapat menggunakan penipuan garansi otomatis untuk mengumpulkan informasi pribadi tentang korban mereka, atau untuk mengumpulkan uang jika korban memutuskan untuk membeli garansi yang diusulkan.[24]
  • Penipuan Paket
    • Menargetkan populasi imigrasi, penipu mengklaim bahwa korban memiliki paket yang perlu diambil. Penipu itu awalnya menyamar sebagai perusahaan kurir. Paket yang tidak ada terhubung ke kasus pidana keuangan. Penipu yang menyamar sebagai perusahaan pengiriman, memindahkan korban ke penipu lain yang menyamar sebagai polisi negara asing. Penipu yang menyamar sebagai polisi akan mengklaim korban dicurigai dan perlu diselidiki dalam penyelidikan pencucian uang palsu. Hal ini dilakukan dengan meyakinkan korban bahwa identitasnya telah dicuri. Penipu kemudian meyakinkan korban untuk mengirim uang ke "polisi" untuk melakukan penyelidikan atas uang di bank mereka.[4] Selama proses, penipu dapat mengambil langkah ekstra untuk mengklaim bahwa mereka bukan penipu dengan menegaskan kembali bahwa polisi tidak akan meminta kredensial pribadi atau informasi rekening bank.
  • Penipuan penculikan
    • Penipu akan menelepon dan mengklaim bahwa mereka telah menculik kerabat dekat atau orang yang dicintai. Ini dilakukan dengan melakukan penelitian terlebih dahulu atau menggunakan taktik dan asumsi rekayasa sosial untuk mengumpulkan informasi dari kerabat korban. Misalnya, karena lansia lebih rentan terhadap penipuan dibandingkan dengan populasi rata-rata, penipu dapat berasumsi bahwa orang tua mungkin memiliki anak atau cucu. Penipu akan mengancam akan menyakiti kerabat jika korban menutup telepon.[25] Dalam kasus tertentu penipu bahkan akan membiarkan korban berbicara dengan "saudara yang diculik " tetapi karena ketakutan, kebingungan, dan efek telepon pada suara seseorang, korban mungkin tidak menyadari bahwa kerabat palsu yang diculik sebenarnya bukanlah orang yang diculik relatif.[26]

Deteksi dan pencegahan

Serangan phishing suara bisa sulit dikenali oleh korban karena lembaga yang sah seperti bank terkadang meminta informasi pribadi yang sensitif melalui telepon.[8] Skema phishing dapat menggunakan pesan yang direkam sebelumnya dari bank regional terkemuka untuk membuatnya tidak dapat dibedakan dari panggilan yang sah.[27] Selain itu, korban, khususnya orang tua,[8] mungkin lupa atau tidak tahu tentang kemampuan penipu untuk mengubah ID penelepon mereka, membuat mereka lebih rentan terhadap serangan phishing suara.[7]

Komisi Perdagangan Federal AS (FTC) menyarankan beberapa cara bagi konsumen rata-rata untuk mendeteksi penipuan telepon.[21] FTC memperingatkan agar tidak melakukan pembayaran menggunakan uang tunai, kartu hadiah, dan kartu prabayar, dan menegaskan bahwa lembaga pemerintah tidak menelepon warga untuk mendiskusikan informasi pribadi seperti nomor Jaminan Sosial.[21] Selain itu, calon korban dapat memperhatikan karakteristik panggilan telepon, seperti nada atau aksen penelepon[8][28] atau urgensi panggilan telepon untuk menentukan sah atau tidaknya panggilan tersebut.

Strategi utama yang direkomendasikan oleh FTC untuk menghindari menjadi korban phishing suara adalah tidak menjawab panggilan dari nomor yang tidak dikenal.[9] Namun, ketika Penipu menggunakan VoIP untuk menipu ID penelepon mereka, atau dalam keadaan di mana korban menjawab panggilan, strategi lain termasuk tidak menekan tombol saat diminta, dan tidak menjawab pertanyaan yang diajukan oleh penelepon yang mencurigakan.[9]

Pada tanggal 31 Maret 2020, dalam upaya untuk mengurangi serangan vishing yang memanfaatkan spoofing ID penelepon, Komisi Komunikasi Federal AS mengadopsi serangkaian mandat yang dikenal sebagai STIR/SHAKEN, kerangka kerja yang dimaksudkan untuk digunakan oleh perusahaan telepon untuk mengautentikasi informasi ID penelepon.[12] Semua penyedia layanan telepon AS memiliki waktu hingga 30 Juni 2021 untuk mematuhi pesanan dan mengintegrasikan STIR/SHAKEN ke dalam infrastruktur mereka untuk mengurangi dampak spoofing ID penelepon.[12]

Di beberapa negara, media sosial digunakan untuk menelepon dan berkomunikasi dengan publik. Pada platform media sosial tertentu, profil pemerintah dan bank diverifikasi dan profil pemerintah dan bank yang tidak diverifikasi akan menjadi profil palsu.[29]

Solusi

Strategi mitigasi yang paling langsung dan efektif adalah melatih masyarakat umum untuk memahami ciri-ciri umum serangan phishing suara untuk mendeteksi pesan phishing.[13] Pendekatan yang lebih teknis adalah penggunaan metode deteksi perangkat lunak. Secara umum, mekanisme seperti itu dapat membedakan antara panggilan phishing dan pesan jujur dan dapat diimplementasikan dengan lebih murah daripada pelatihan publik.[13]

Deteksi phishing

Metode deteksi phishing yang mudah adalah penggunaan daftar hitam. Penelitian terbaru telah berusaha untuk membuat perbedaan yang akurat antara panggilan yang sah dan serangan phishing menggunakan Kecerdasan Buatan dan analisis data.[30] Dengan menganalisis dan mengubah panggilan telepon menjadi teks, mekanisme kecerdasan buatan seperti Pemrosesan bahasa alami dapat digunakan untuk mengidentifikasi apakah panggilan telepon tersebut merupakan serangan phishing.[30]

Pendekatan ofensif

Sistem khusus, seperti aplikasi telepon, dapat mengirimkan data palsu ke panggilan phishing. Selain itu, berbagai lembaga penegak hukum terus berupaya untuk mencegah penipu melakukan panggilan phishing dengan menjatuhkan hukuman yang lebih keras kepada penyerang.[12][13]

Referensi

  1. ^ a b Griffin, Slade E.; Rackley, Casey C. (2008). "Vishing". Proceedings of the 5th Annual Conference on Information Security Curriculum Development - InfoSecCD '08: 33. doi:10.1145/1456625.1456635. ISBN 9781605583334. 
  2. ^ Association, Press (2013-08-28). "'Vishing' scams net fraudsters £7m in one year". the Guardian (dalam bahasa Inggris). Diakses tanggal 2018-09-04. 
  3. ^ a b Olson, Elizabeth (2018-12-07). "When Answering the Phone Exposes You to Fraud". The New York Times (dalam bahasa Inggris). ISSN 0362-4331. Diakses tanggal 2021-04-08. 
  4. ^ a b "Chinese Robocalls Bombarding The U.S. Are Part Of An International Phone Scam". NPR.org (dalam bahasa Inggris). Diakses tanggal 2021-04-08. 
  5. ^ Hauser, Christine (2018-07-23). "U.S. Breaks Up Vast I.R.S. Phone Scam". The New York Times (dalam bahasa Inggris). ISSN 0362-4331. Diakses tanggal 2021-04-06. 
  6. ^ Statt, Nick (2019-09-05). "Thieves are now using AI deepfakes to trick companies into sending them money". The Verge (dalam bahasa Inggris). Diakses tanggal 2021-04-08. 
  7. ^ a b c Yeboah-Boateng, Ezer; Amanor, Priscilla. "Phishing, SMiShing & Vishing: An Assessment of Threats against Mobile Devices". Journal of Emerging Trends in Computing and Information Sciences. CiteSeerX 10.1.1.682.2634alt=Dapat diakses gratis. 
  8. ^ a b c d Song, Jaeseung; Kim, Hyoungshick; Gkelias, Athanasios (2014-10-01). "iVisher: Real-Time Detection of Caller ID Spoofing". ETRI Journal (dalam bahasa Inggris). 36 (5): 865–875. doi:10.4218/etrij.14.0113.0798. ISSN 1225-6463. 
  9. ^ a b c d "Caller ID Spoofing". Federal Communications Commission (dalam bahasa Inggris). 2011-05-04. Diakses tanggal 2021-04-06. 
  10. ^ The AT&T Business Editorial Team. "What is VoIP and how does it work?". 
  11. ^ "Voice Over Internet Protocol (VoIP)". Federal Communications Commission (dalam bahasa Inggris). 2010-11-18. Diakses tanggal 2021-04-08. 
  12. ^ a b c d Federal Communications Commission. "REPORT AND ORDER AND FURTHER NOTICE OF PROPOSED RULEMAKING" (PDF). 
  13. ^ a b c d e f Khonji, Mahmoud; Iraqi, Youssef; Jones, Andrew. "Phishing Detection: A Literature Survey" (PDF). IEEE Communications Surveys & Tutorials. 15. 
  14. ^ Fowler, Thomas; Leigh, John. "Phishing, Pharming, and Vishing: Fraud in the Internet Age". The Telecommunications Review. CiteSeerX 10.1.1.136.3368alt=Dapat diakses gratis. 
  15. ^ "Phone scammers: 'Give me £1,000 to stop calling you'". BBC News (dalam bahasa Inggris). 2021-03-14. Diakses tanggal 2021-04-08. 
  16. ^ a b c d e f IBM Global Technology Services. "The vishing guide" (PDF). 
  17. ^ Choi, Kwan; Lee, Ju-lak; Chun, Yong-tae (2017-05-01). "Voice phishing fraud and its modus operandi". Security Journal (dalam bahasa Inggris). 30 (2): 454–466. doi:10.1057/sj.2014.49. ISSN 0955-1662. 
  18. ^ "What You Need to Know About Romance Scams". Consumer Information (dalam bahasa Inggris). 2019-06-05. Diakses tanggal 2021-04-08. 
  19. ^ 新竹市警察局 (2017-01-09). "常見詐騙手法分析-新竹市政府" [Analisis Teknik Penipuan Umum-Pemerintah Kota Hsinchu]. 新竹市警察局. Diakses tanggal 2021-04-08. 
  20. ^ a b c "How to Spot, Avoid and Report Tech Support Scams". Consumer Information (dalam bahasa Inggris). 2019-02-15. Diakses tanggal 2021-04-08. 
  21. ^ a b c d "Phone Scams". Consumer Information (dalam bahasa Inggris). 2019-09-25. Diakses tanggal 2021-04-08. 
  22. ^ "Charity and Disaster Fraud". Federal Bureau of Investigation (dalam bahasa Inggris). Diakses tanggal 2021-04-08. 
  23. ^ a b "Watch out for Auto Warranty Scams". Federal Communications Commission (dalam bahasa Inggris). 2011-02-11. Diakses tanggal 2021-04-08. 
  24. ^ Giorgianni, Anthony. "Don't Fall for the Car Warranty Scam". Consumer Reports (dalam bahasa Inggris). Diakses tanggal 2021-04-08. 
  25. ^ "FBI Warns Public of 'Virtual Kidnapping' Extortion Calls — FBI". www.fbi.gov (dalam bahasa Inggris). Diakses tanggal 2021-04-08. 
  26. ^ 刑事警察大隊 (2015-11-26). "遇到假綁架詐騙別心慌 冷靜求證不受騙" [Jangan panik saat menghadapi penipuan penculikan palsu, verifikasi dengan tenang bahwa Anda tidak tertipu]. 刑事警察大隊. Diakses tanggal 2021-04-08. 
  27. ^ Prastyo, Hadi (2023-05-30). "Mendeteksi dan Mencegah Serangan Phishing untuk Pengguna Akhir". Inixindo (dalam bahasa Inggris). Diakses tanggal 2024-01-13. 
  28. ^ Shamah, David. "Anatomy of an Iranian hack attack: How an Israeli professor got stung". www.timesofisrael.com (dalam bahasa Inggris). Diakses tanggal 2021-04-08. 
  29. ^ "內政部警政署 165 全民防騙網" [Departemen Kepolisian Kementerian Dalam Negeri 165 Jaringan Penipuan Nasional]. 165.npa.gov.tw. Diakses tanggal 2021-04-08. 
  30. ^ a b Kim, Jeong-Wook; Hong, Gi-Wan; Chang, Hangbae. "Voice Recognition and Document Classification-Based Data Analysis for Voice Phishing Detection" (PDF). Human-centric Computing and Information Sciences. 

Pranala luar